點對點加密通訊協定之前瞻技術與探討
林漢洲
由於手機和可攜式裝置的普及,現在大眾隨時隨地都可輕易連上網,接踵而來,由手機和可攜式裝置分享和發布使用者所產生的內容, 呈現爆炸性成長。目前大眾對不法監聽敏感個人私密通訊有所警覺,也開始重視個資安全,但是國內欠缺如何有效地進行安全通訊的整體規畫與辦法。我們也需要一個可靠,可稽核(auditable)的機制來保護我國國內的通訊和重要機密。因為目前常用的網路平台,如Facebook, Google, LINE, Apple, 其雲端伺服器都在國外,我們建議解決對策是將我們每天日常線上的對話,如同視為是公務性質,關注其資料安全與是否在地化。試論國內政府公務機關的即時通使用,最常被使用的應是LINE, 是韓國的Naver集團旗下的LINE 株式會社的即時通訊軟體。雖然,從LINE 5.3.3 版開始提供點對點加密(end-to-end encryption, E2EE), 在LINE叫 letter sealing, 而且自動會以點以點加密傳輸。但是,我們發現這並沒有完全解決保護個人資料傳輸安全的問題。即使對話資料是以加密(連LINE也不能解密)方式存放在LINE的伺服器,金鑰是只有收發兩端才有,且不會轉送出這兩端以外。前提是我們必須「信任」LINE在任何時候都會遵守,而且,由於是國外公司,須時時留意是否因股權所有權轉移,而改變其公司主要資安的政策或執行。(例如,因為擴大版圖到金融,如LINE PAY, 網路銀行等)